WinScript.Rabbit — 10 строк, которые грозят потрясти мир!

Последняя неделя октября 1998 года принесла сюрприз. Специалисты Лаборатории Касперского обнаружили компьютерный вирус, действующий на неизвестном ранее принципе: вирус заражает скрипты Windows (программы на командном языке Windows). При запуске вирус ищет на диске другие файлы -скрипты и записывается вместо них. Самым опасным при этом является тот факт, что вирус в состоянии распространяться через сеть Интернет — современные броузеры выполняют зараженные скрипты на локальном компьютере, даже если они расположены на удаленном Web-сервере.

Идея подобного вируса уже ранее была реализована в нескольких вирусах для UNIX. В конце 80-х годов вирусы, написанные на командных языках клонов UNIX, стали настоящим бедствием глобальных компьютерных сетей того времени. Наибольшую известность среди них получили сетевые вирусы-черви «Cristmas Tree», «HI.COM», «Wank Worm». Не исключено, что вирус, написанный на скриптах Windows, открывает новую эру сетевых компьютерных вирусов-червей.

Обнаруженный вирус является первым известным вирусом, поражающим скрипты Windows. Он предельно прост — содержит всего чуть более 10 команд. Этот вирус является, скорее всего, пробой пера одного из «вирусописателей» достаточно известной хакерской группы «CodeBreakers». В вирусе присутствует ряд неточностей, моментально демаскирующих появление вируса в системе: при запуске вируса с удаленного Web-сервера с помощью броузера вирус заражает все файлы в кеше броузера и копирует их в Desktop компьютера (поскольку для броузера текущим каталогом является Desktop). При этом Desktop компьютера оказывается заполненным иконками зараженных скриптов — вирус размножается как кролик, что и послужило основанием для его имени: WinScript.Rabbit.

Несмотря на эти неточности и простоту своего кода, вирус несет потенциальную угрозу для всех пользователей Интернет. Базируясь на возможностях современных глобальных сетей, вирус имеет в своем распоряжении мощный механизм распространения. Не исключено, что скрипт-вирус «Rabbit» является «первой ласточкой», по образу и подобию которой будут созданы новые вирусы, использующие тот же принцип размножения.

Технические детали

В будущем возможно появление целой серии подобных вирусов, заражающей не только скрипт-файлы, но и другие элементы операционной системы Windows и даже Web-сервера. Вирус работоспособен под всеми версиями Windows32 (Windows95/98/NT), где имеется Microsoft Scripting Host. В Windows98 и NT 5.0 поддержка скриптов является стандартной функцией. В других версиях Windows и Windows NT обработка скриптов также возможна, если установлен специальный апдейт.

В целях безопасности Лаборатория Касперского рекомендует всем пользователям Windows 95/98/NT установить встроенную в броузер защиту программы AntiViral Toolkit Pro (AVP), для детектирования и удаления известных на сегодняшний день скрипт-вирусов. Это включено в последний апдейт AVP.

В ближайшем будущем Лабораторией Касперского планируется выпуск специальной версии AVP Inspector for Web Server, детектирующей все изменения на страницах Web-серверов.